Захват учётной записи (ATO)
Что такое Захват учётной записи (ATO)?
Захват учётной записи (ATO)Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.
Захват учётной записи происходит, когда атакующий получает действительные учётные данные, сессионные токены или каналы восстановления аккаунта жертвы и входит как этот пользователь. Типичные точки входа — фишинг, инфостилеры, credential stuffing с использованием утекших паролей, SIM-свопинг для перехвата SMS-кодов, злоупотребление согласиями OAuth и слабости процедур восстановления аккаунта. Внутри аккаунта преступники похищают данные, опустошают кошельки, перенаправляют выплаты, рассылают фишинг с доверенных адресов или развивают атаку в других системах.
Credential stuffing — наиболее индустриализированный путь. При взломе 23andMe в 2023 году атакующий на протяжении примерно пяти месяцев, начиная с апреля 2023 года, подставлял на странице входа пары «логин/пароль», утёкшие с никак не связанных сайтов. Напрямую было взломано лишь около 14 000 аккаунтов, но поскольку 23andMe не требовала MFA, а функция DNA Relatives раскрывала связанные профили, злоумышленник собрал генетические и генеалогические данные примерно 6,9 млн человек. Этот случай показывает, как повторное использование паролей в сочетании с отсутствием MFA превращает горстку скомпрометированных входов в массовую утечку данных, и почему так важно обнаружение длительных распределённых попыток входа.
Меры защиты: фишингоустойчивая MFA (FIDO2/passkeys), привязка к устройству, аналитика аномальных входов, повторная аутентификация для рискованных действий, проверка скомпрометированных паролей (в соответствии с NIST SP 800-63B), ограничение частоты запросов и обнаружение ботов на входе, а также быстрая инвалидизация сессий и токенов при обнаружении злоупотребления.
flowchart LR
L[Утекшие учётные данные /<br/>фишинг / инфостилер] --> A[Атакующий]
A --> B{Попытка входа}
B -->|нет MFA| C[Аккаунт скомпрометирован]
B -->|фишингоустойчивая MFA<br/>+ обнаружение аномалий| D[Заблокировано / step-up]
C --> E[Кража данных, мошенничество,<br/>сбор связанных профилей]
C --> F[Боковое перемещение /<br/>фишинг с доверенного аккаунта]
D -.->|оценка риска| G[Инвалидизация сессии и токена]● Примеры
- 01
Повторное использование утекших с другого сайта паролей для входа в банковский портал.
- 02
Взлом 23andMe в 2023 году методом credential stuffing, раскрывший данные ~6,9 млн пользователей.
● Частые вопросы
Что такое Захват учётной записи (ATO)?
Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Захват учётной записи (ATO)?
Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.
Как защититься от Захват учётной записи (ATO)?
Защита от Захват учётной записи (ATO) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Захват учётной записи (ATO)?
Распространённые альтернативные названия: ATO, Компрометация учётной записи.